El Garante de Privacidad impuso una multa total de 12,5 millones de euros al grupo Poste, incluidos 6.624 euros a Poste Italiane y 5.877 millones de euros a Postepay, por procesar ilegalmente los datos personales de millones de usuarios.
La historia es la misma que dio lugar a una multa de 4 millones pagada por Antimonopolio en junio de 2025, pero anulada este año por el Tribunal Administrativo Regional tras un recurso de Correos. La investigación del Garante de Privacidad comenzó a raíz de 140 informes y 12 quejas que datan de abril y mayo de 2024 de que los usuarios de las aplicaciones Bancoposta y PostePay habían recibido mensajes de invitación para “autorizar a la aplicación a acceder a datos para detectar la presencia de cualquier software dañino”.
La autorización era obligatoria, de lo contrario las operaciones habrían sido prohibidas. La autorización permitió el acceso a datos de uso, con el fin de monitorear las aplicaciones utilizadas por los clientes, la frecuencia de uso e identificar al operador telefónico. Por lo tanto, estas aplicaciones preveían, como condición obligatoria para el uso de los servicios, la emisión por parte de los usuarios de una autorización para monitorear una serie de datos contenidos en los dispositivos móviles, incluidas las aplicaciones instaladas y en ejecución, con el fin de identificar cualquier software malicioso. El tratamiento se realizó a través de ThreatMetrix, que es esencialmente un componente de la plataforma antifraude de Correos de Italia que permite el análisis en tiempo real de las operaciones realizadas a través de la aplicación y proporciona un índice de riesgo asociado a las propias operaciones.
The Garant: aplicación demasiado invasiva para los usuarios
En la disposición adoptada ayer, leemos que después de una primera fase de análisis en profundidad, el Garante concluyó que “la configuración de la aplicación ThreatMetrix parecía excesivamente invasiva en el ámbito jurídico del interesado, porque el objetivo, aunque importante, de elevar el nivel de seguridad informática y realizar un mayor control antifraude podría haber sido logrado por las empresas mediante el uso de herramientas, posiblemente incluso combinadas entre sí, con menor impacto en los derechos de los usuarios finales”.
La empresa: el procesamiento necesario para las reglas de pago
Según declararon las empresas, los tratamientos adoptados fueron sin embargo necesarios para garantizar la seguridad de las operaciones y cumplir con la legislación sobre servicios de pago. Poste se refirió en particular al reglamento EBA y a la directiva europea sobre PSD2. El Garante, sin embargo, consideró que los métodos adoptados implicaban una injerencia excesivamente invasiva en la esfera privada de los usuarios, por no ser estrictamente necesarios para los fines de prevención del fraude. Durante la investigación también se encontraron varias violaciones de la legislación de protección de datos personales, incluidas deficiencias en la información proporcionada a los usuarios, la ausencia de una evaluación de impacto de la protección de datos (DPIA) adecuada, la no adopción de medidas de seguridad adecuadas y políticas de retención de datos apropiadas, así como irregularidades en la designación del responsable del tratamiento.
About The Author
